Steven Murdoch hat in seinem Vortrag „Relay attacks on card payment“ über neue Sicherheitsprobleme bei neuen EC-Karten berichtet. Dabei konnte er bei einer Demo mit einem Fernsehteam zeigen, dass das Konzept sich relativ einfach überlisten lässt, wenn man mit einem Verkäufer zusammenarbeitet und die Daten von einem manipulierten Terminal an einen Mittäter weiterleitet. (Dies funktioniert scheinbar jedoch nicht auf deutschen Karten…) Als Gegenmaßnahme hat er einen Algorithmus erdacht, der die Entfernung der Karte vom Terminal misst und auch auf den relativ beschränkten Hardware-Fähigkeiten der Karten funktioniert.
Weiter gings mit einem Vortrag von Constanze Kurz und „starbug“ zum Thema „Biometrischer Reisepass„. In neuen Reispass müssen seit dem 1. November 07 auch Fingerabdrücke hinterlegt werden. „starbug“ konnte dazu die Flughafen-Kontrollen in Malaysia beobachten (die haben dort als erstes Land schon für alle Bürger biometrische Ausweise) und hat festgestellt, dass sich ein großer Teil der Überprüfungen weiterhin nur mit manuellen Eingriffen durchführen lässt. Auch die Erstellung der biometrischen Pässe bereitet große Probleme und dauert deutlich länger als vorher von den Behörden behauptet. Untermalt wurde der Vortrag durch geradezu groteske Statements von unserem Innenminister (Fernsehansprache zur Einführung der neuen Pässe oder so?). Nettes Detail: Sie hatten einen E-Techniker, der scheinbar so viel Hornhaut an den Fingerkuppen hatte, der er sich mit einem Lötkolben dort kleine Muster ritzen konnte. Als Beispiel hatten sie dann einen kleinen Smilie auf dem Fingerabdruck. War nach deren Auskunft keine Bildmanipulation. Noch besser war jemand aus dem Publikum, der Installationen des Systems zur Übertragung der abgenommenen Fingerabdruck-Daten an die Bundesdruckerei in Berlin durchgeführt hat und daraus Insider-Kenntnisse hatte. Scheinbar ist eine Option, die Daten per SMTP über das Internet übertragen… WTF? Hoffentlich verschlüsselt…
Zum Abschluss des dritten Tages gab es noch das jährliche Hacker-Jeopardy. Überraschung: FeFe hat dieses Jahr nicht gewonnen. Statt dessen kam es am Ende zu einem Patt, weil zwei der vier Finalisten gleich viele Punkte hatten (…und das kurz nach dem „Wahlchaos“-Vortrag, wo genau diese Themen anhand der Bundestagswahl-Daten behandelt wurden ;-). Letztenendes wurde durch eine Schätzfrage entschieden: Die beiden Kandidaten mussten schätzen, wie viele Codezeilen das Jeopardy-Programm hat. Die Lösung war 1346, der spätere Gewinner hatte 1337 geschätzt 😉
Am vierten Tag fand ich den Vortrag zum „Arctic Cold War“ ziemlich interessant. Unter der Arktis sind scheinbar ziemlich viele Öl- und Gasreserven. Außerdem könnte man, sofern das Eis dort schmilzt (eine ganzjährige Route ist voraussichtlich schon ab 2015 verfügbar), schnellere Schiffahrtswege über die Arktis einrichten – beispielsweise von Hamburg nach Tokio oder so würde man sich einige Tausend Kilometer Schiffsweg sparen. Insofern sind also die Besitzrechte an der Arktis – die bislang keinem Einzelstaat zugeordnet sind – sehr lohnenswert. Ein Bericht über die Maßnahmen von Kanada, Russland, den USA und Dänemark.
Danach gab es noch einen Interessanten Vortrag von Luke Jennings zum Thema „Post-Exploitation Fun in Windows-Environments„. Mit Hilfe von „Access Tokens“ des Active Directory ist es, sofern man einmal einen Rechner unter seiner Kontrolle hat, möglich auf weitere Windows-Rechner zuzugreifen, wenn man vom ersten Rechner diese Access Token extrahiert. Aus seiner Sicht als Penetration Tester ist dies nützlich, da beispielsweise Admin-Rechner meist weniger sicher sind, als die zentralen Server. Access Tokens blieben bis vor kurzem auch relativ lange auf Systemen erhalten (bis zum Reboot). Dies wurde allerdings durch ein Security Update neulich gefixt. Prinzipiell sind die Access Tokens jedoch immer noch vorhanden und lassen sich zu diesen Zwecken nutzen.
Anschließend war ich noch bei dem Vortrag „Unusual Web Bugs„. Hier wurden eine Reihe von neuartigen bzw. teilweise einfach unbekannte Arten von XSS-Schwächen dargestellt. Sehr interessant, muss ich mir aber nochmal in Ruhe im Video ansehen…
Zum Abschuss habe ich mir noch den Vortrag „I know who you clicked last summer“ angetan. Hier wurde die Analyse sozialer Netzwerke auf Basis der graphentheoretischer Ansätze dargestellt. Kratzte aus meiner Sicher ein wenig zu sehr an der Oberfläche des Möglichen. Leider ist das Beispiel (die Analyse der Sputnik-Daten des Kongresses) nicht fertig geworden.